路由器防火墻配置命令

2019-11-05 00:37:58

字體：大中小

供稿：網(wǎng)友

　　一、access-list 用于創(chuàng)建訪問規(guī)則。
　　
　　（1）創(chuàng)建標準訪問列表
　　
　　access-list [ normal special ] listnumber1 { permit deny } source-addr [ source-mask ]
　　
　　（2）創(chuàng)建擴展訪問列表
　　
　　access-list [ normal special ] listnumber2 { permit deny } PRotocol source-addr source-mask [ Operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] icmp-type [ icmp-code ] ] [ log ]
　　
　　（3）刪除訪問列表
　　
　　no access-list { normal special } { all listnumber [ subitem ] }
　　
　　【參數(shù)說明】
　　
　　normal 指定規(guī)則加入普通時間段。
　　
　　special 指定規(guī)則加入非凡時間段。
　　
　　listnumber1 是1到99之間的一個數(shù)值，表示規(guī)則是標準訪問列表規(guī)則。
　　
　　listnumber2 是100到199之間的一個數(shù)值，表示規(guī)則是擴展訪問列表規(guī)則。
　　
　　permit 表明答應滿足條件的報文通過。
　　
　　deny 表明禁止?jié)M足條件的報文通過。
　　
　　protocol 為協(xié)議類型，支持ICMP、TCP、UDP等，其它的協(xié)議也支持，此時沒有端口比較的概念；為ip時有非凡含義，代表所有的IP協(xié)議。
　　
　　source-addr 為源地址。
　　
　　source-mask 為源地址通配位，在標準訪問列表中是可選項，不輸入則代表通配位為0.0.0.0。
　　
　　dest-addr 為目的地址。
　　
　　dest-mask 為目的地址通配位。
　　
　　operator[可選] 端口操作符，在協(xié)議類型為TCP或UDP時支持端口比較，支持的比較操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；假如操作符為range，則后面需要跟兩個端口。
　　
　　port1 在協(xié)議類型為TCP或UDP時出現(xiàn)，可以為要害字所設定的預設值（如telnet）或0~65535之間的一個數(shù)值。
　　
　　port2 在協(xié)議類型為TCP或UDP且操作類型為range時出現(xiàn)；可以為要害字所設定的預設值（如telnet）或0~65535之間的一個數(shù)值。
　　
　　icmp-type[可選] 在協(xié)議為ICMP時出現(xiàn)，代表ICMP報文類型；可以是要害字所設定的預設值（如echo-reply）或者是0~255之間的一個數(shù)值。
　　
　　icmp-code在協(xié)議為ICMP且沒有選擇所設定的預設值時出現(xiàn)；代表ICMP碼，是0~255之間的一個數(shù)值。
　　
　　log [可選] 表示假如報文符合條件，需要做日志。
　　
　　listnumber 為刪除的規(guī)則序號，是1~199之間的一個數(shù)值。
　　
　　subitem[可選] 指定刪除序號為listnumber的訪問列表中規(guī)則的序號。
　　
　　【缺省情況】
　　
　　系統(tǒng)缺省不配置任何訪問規(guī)則。
　　
　　【命令模式】
　　
　　全局配置模式
　　
　　【使用指南】
　　
　　同一個序號的規(guī)則可以看作一類規(guī)則；所定義的規(guī)則不僅可以用來在接口上過濾報文，也可以被如DDR等用來判定一個報文是否是感愛好的報文，此時，permit與deny表示是感愛好的還是不感愛好的。
　　
　　使用協(xié)議域為IP的擴展訪問列表來表示所有的IP協(xié)議。
　　
　　同一個序號之間的規(guī)則按照一定的原則進行排列和選擇，這個順序可以通過 show access-list 命令看到。
　　
　　【舉例】
　　
　　答應源地址為10.1.1.0 網(wǎng)絡、目的地址為10.1.2.0網(wǎng)絡的WWW訪問，但不答應使用FTP。
　　
　　Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www
　　
　　Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp
　　
　　【相關命令】
　　
　　ip access-group
　　
　　二、clear access-list counters 清除訪問列表規(guī)則的統(tǒng)計信息。
　　
　　clear access-list counters [ listnumber ]
　　
　　【參數(shù)說明】
　　
　　listnumber [可選] 要清除統(tǒng)計信息的規(guī)則的序號，如不指定，則清除所有的規(guī)則的統(tǒng)計信息。
　　
　　【缺省情況】
　　
　　任何時候都不清除統(tǒng)計信息。
　　
　　【命令模式】
　　
　　特權(quán)用戶模式
　　
　　【使用指南】
　　
　　使用此命令來清除當前所用規(guī)則的統(tǒng)計信息，不指定規(guī)則編號則清除所有規(guī)則的統(tǒng)計信息。
　　
　　【舉例】
　　
　　例1：清除當前所使用的序號為100的規(guī)則的統(tǒng)計信息。
　　
　　Quidway#clear access-list counters 100
　　
　　例2：清除當前所使用的所有規(guī)則的統(tǒng)計信息。
　　
　　Quidway#clear access-list counters
　　
　　【相關命令】
　　
　　access-list
　　
　　三、firewall 啟用或禁止防火墻。
　　
　　firewall { enable disable }
　　
　　【參數(shù)說明】
　　
　　enable 表示啟用防火墻。
　　
　　disable 表示禁止防火墻。
　　
　　【缺省情況】
　　
　　系統(tǒng)缺省為禁止防火墻。
　　
　　【命令模式】
　　
　　全局配置模式
　　
　　【使用指南】
　　
　　使用此命令來啟用或禁止防火墻，可以通過show firewall命令看到相應結(jié)果。假如采用了時間段包過濾，則在防火墻被關閉時也將被關閉；該命令控制防火墻的總開關。在使用 firewall disable 命令關閉防火墻時，防火墻本身的統(tǒng)計信息也將被清除。
　　
　　【舉例】
　　
　　啟用防火墻。
　　
　　Quidway(config)#firewall enable
　　
　　【相關命令】
　　
　　access-list，ip access-group
　　
　　四、firewall default 配置防火墻在沒有相應的訪問規(guī)則匹配時，缺省的過濾方式。
　　
　　firewall default { permit deny }
　　
　　【參數(shù)說明】
　　
　　permit 表示缺省過濾屬性設置為“答應”。
　　
　　deny 表示缺省過濾屬性設置為“禁止”。
　　
　　【缺省情況】
　　
　　在防火墻開啟的情況下，報文被缺省答應通過。
　　
　　【命令模式】
　　
　　全局配置模式
　　
　　【使用指南】
　　
　　當在接口應用的規(guī)則沒有一個能夠判定一個報文是否應該被答應還是禁止時，缺省的過濾屬性將起作用；假如缺省過濾屬性是“答應”，則報文可以通過，否則報文被丟棄。
　　
　　【舉例】
　　
　　設置缺省過濾屬性為“答應”。
　　
　　Quidway(config)#firewall default permit
　　
　　五、ip access-group 使用此命令將規(guī)則應用到接口上。使用此命令的no形式來刪除相應的設置。
　　
　　ip access-group listnumber { in out }
　　
　　[ no ] ip access-group listnumber { in out }
　　
　　【參數(shù)說明】
　　
　　listnumber 為規(guī)則序號，是1~199之間的一個數(shù)值。
　　
　　in 表示規(guī)則用于過濾從接口收上來的報文。
　　
　　out 表示規(guī)則用于過濾從接口轉(zhuǎn)發(fā)的報文。
　　
　　【缺省情況】
　　
　　沒有規(guī)則應用于接口。
　　
　　【命令模式】
　　
　　接口配置模式。
　　
　　【使用指南】
　　
　　使用此命令來將規(guī)則應用到接口上；假如要過濾從接口收上來的報文，則使用 in 要害字；假如要過濾從接口轉(zhuǎn)發(fā)的報文，使用out 要害字。一個接口的一個方向上最多可以應用20類不同的規(guī)則；這些規(guī)則之間按照規(guī)則序號的大小進行排列，序號大的排在前面，也就是優(yōu)先級高。對報文進行過濾時，將采用發(fā)現(xiàn)符合的規(guī)則即得出過濾結(jié)果的方法來加快過濾速度。所以，建議在配置規(guī)則時，盡量將對同一個網(wǎng)絡配置的規(guī)則放在同一個序號的訪問列表中；在同一個序號的訪問列表中，規(guī)則之間的排列和選擇順序可以用show access-list命令來查看。
　　
　　【舉例】
　　
　　將規(guī)則101應用于過濾從以太網(wǎng)口收上來的報文。
　　
　　Quidway(config-if-Ethernet0)#ip access-group 101 in
　　
　　【相關命令】
　　
　　access-list
　　
　　六、settr 設定或取消非凡時間段。
　　
　　settr begin-time end-time
　　
　　no settr
　　
　　【參數(shù)說明】
　　
　　begin-time 為一個時間段的開始時間。
　　
　　end-time 為一個時間段的結(jié)束時間，應該大于開始時間。
　　
　　【缺省情況】
　　
　　系統(tǒng)缺省沒有設置時間段，即認為全部為普通時間段。
　　
　　【命令模式】
　　
　　全局配置模式
　　
　　【使用指南】
　　
　　使用此命令來設置時間段；可以最多同時設置6個時間段，通過show timerange 命令可以看到所設置的時間。假如在已經(jīng)使用了一個時間段的情況下改變時間段，則此修改將在一分鐘左右生效（系統(tǒng)查詢時間段的時間間隔）。設置的時間應該是24小時制。假如要設置類似晚上9點到早上8點的時間段，可以設置成“settr 21:00 23:59 0:00 8:00”，因為所設置的時間段的兩個端點屬于時間段之內(nèi)，故不會產(chǎn)生時間段內(nèi)外的切換。另外這個設置也經(jīng)過了2000問題的測試。
　　
　　【舉例】
　　
　　例1：設置時間段為8:30 ~ 12:00，14:00 ~ 17:00。
　　
　　Quidway(config)#settr 8:30 12:00 14:00 17:00
　　
　　例2：設置時間段為晚上9點到早上8點。
　　
　　Quidway(config)#settr 21:00 23:59 0:00 8:0
　　
　　【相關命令】
　　
　　timerange，show timerange
　　
　　七、show access-list 顯示包過濾規(guī)則及在接口上的應用。
　　
　　show access-list [ all listnumber interface interface-name ]
　　
　　【參數(shù)說明】
　　
　　all 表示所有的規(guī)則，包括普通時間段內(nèi)及非凡時間段內(nèi)的規(guī)則。
　　
　　listnumber 為顯示當前所使用的規(guī)則中序號為listnumber的規(guī)則。
　　
　　interface 表示要顯示在指定接口上應用的規(guī)則序號。
　　
　　interface-name 為接口的名稱。
　　
　　【命令模式】
　　
　　特權(quán)用戶模式
　　
　　【使用指南】
　　
　　使用此命令來顯示所指定的規(guī)則，同時查看規(guī)則過濾報文的情況。每個規(guī)則都有一個相應的計數(shù)器，假如用此規(guī)則過濾了一個報文，則計數(shù)器加1；通過對計數(shù)器的觀察可以看出所配置的規(guī)則中，哪些規(guī)則是比較有效，而哪些基本無效。可以通過帶interface要害字的show access-list命令來查看某個接口應用規(guī)則的情況。
　　
　　【舉例】
　　
　　例1：顯示當前所使用的序號為100的規(guī)則。
　　
　　Quidway#show access-list 100
　　
　　Using normal packet-filtering access rules now.
　　
　　100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect (3 matches,252 bytes -- rule 1)
　　
　　100 permit icmp 10.1.0.0 0.0.255.255 any echo (no matches -- rule 2)
　　
　　100 deny udp any any eq rip (no matches -- rule 3)
　　
　　例2：顯示接口Serial0上應用規(guī)則的情況。
　　
　　Quidway#show access-list interface serial 0
　　
　　Serial0:
　　
　　access-list filtering In-bound packets : 120
　　
　　access-list filtering Out-bound packets: None
　　
　　【相關命令】
　　
　　access-list
　　
　　八、show firewall 顯示防火墻狀態(tài)。
　　
　　show firewall
　　
　　【命令模式】
　　
　　特權(quán)用戶模式
　　
　　【使用指南】
　　
　　使用此命令來顯示防火墻的狀態(tài)，包括防火墻是否被啟用，啟用防火墻時是否采用了時間段包過濾及防火墻的一些統(tǒng)計信息。
　　
　　【舉例】
　　
　　顯示防火墻狀態(tài)。
　　
　　Quidway#show firewall
　　
　　Firewall is enable, default filtering method is 'permit'.
　　
　　TimeRange packet-filtering enable.
　　
　　InBound packets: None;
　　
　　OutBound packets: 0 packets, 0 bytes, 0% permitted,
　　
　　0 packets, 0 bytes, 0% denied,
　　
　　2 packets, 104 bytes, 100% permitted defaultly,
　　
　　0 packets, 0 bytes, 100% denied defaultly.
　　
　　From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.
　　
　　【相關命令】
　　
　　firewall
　　
　　九、show isintr 顯示當前時間是否在時間段之內(nèi)。
　　
　　show isintr
　　
　　【命令模式】
　　
　　特權(quán)用戶模式
　　
　　【使用指南】
　　
　　使用此命令來顯示當前時間是否在時間段之內(nèi)。
　　
　　【舉例】
　　
　　顯示當前時間是否在時間段之內(nèi)。
　　
　　Quidway#show isintr
　　
　　It is NOT in time ranges now.
　　
　　【相關命令】
　　
　　timerange，settr
　　
　　十、show timerange 顯示時間段包過濾的信息。
　　
　　show timerange
　　
　　【命令模式】
　　
　　特權(quán)用戶模式
　　
　　【使用指南】
　　
　　使用此命令來顯示當前是否答應時間段包過濾及所設置的時間段。
　　
　　【舉例】
　　
　　顯示時間段包過濾的信息。
　　
　　Quidway#show timerange
　　
　　TimeRange packet-filtering enable.
　　
　　beginning of time range:
　　
　　01:00 - 02:00
　　
　　03:00 - 04:00
　　
　　end of time range.
　　
　　【相關命令】
　　
　　timerange，settr
　　
　　十一、timerange 啟用或禁止時間段包過濾功能。
　　
　　timerange { enable disable }
　　
　　【參數(shù)說明】
　　
　　enable 表示啟用時間段包過濾。
　　
　　disable 表示禁止采用時間段包過濾。
　　
　　【缺省情況】
　　
　　系統(tǒng)缺省為禁止時間段包過濾功能。
　　
　　【命令模式】
　　
　　全局配置模式
　　
　　【使用指南】
　　
　　使用此命令來啟用或禁止時間段包過濾功能，可以通過show firewall命令看到，也可以通過show timerange命令看到配置結(jié)果。在時間段包過濾功能被啟用后，系統(tǒng)將根據(jù)當前的時間和設置的時間段來確定使用時間段內(nèi)（非凡）的規(guī)則還是時間段外（普通）的規(guī)則。系統(tǒng)查詢時間段的精確度為1分鐘。所設置的時間段的兩個端點屬于時間段之內(nèi)。
　　
　　【舉例】
　　
　　啟用時間段包過濾功能。
　　
　　Quidway(config)#timerange enable
　　
　　【相關命令】
　　
　　settr，show timerange

上一篇：路由再發(fā)布

下一篇：HDSL寬帶接入路由的配置